PAYPAL PÄIVITYSANSA

 Mihinkään maksupalveluun EI SAA KIRJAUTUA minkään linkin kautta!
TÄMÄ ON ANSA, jolla sinun PayPal-tilisi varastetaan.

Tämä kirje ei saavu PayPalista "venicebikerental. com" viittaa polkupyörävuokrausfirmaan, jonka osoite on varastettu huijauskäyttöön. Alinna F-Securen varoitus linkin päässä olevasta sivusta.

Tämä VAARALLINEN inkkiosoite "https://kuch-hatke. in/welk/kome/" esiintyy nyt useissa erilaisissa huijauskirjeissä, joten sen voi kirjoittaa spämmisuodattimeen. Osoite "kuch-hatke. in" riittää. Poista tyhjä väli pisteen jälkeen. Edellinen kirje saapui Lähitapiolan nimissä.

----------------------------------KIRJE------------------------------------------

F-SECUREN VAROITUS KIRJEEN LINKISTÄ!

SUOMI FI - HUIJAUKSET JÄLLEEN LIIKENTEESSÄ

Jokainen kirje, joka ehdotta linkissään sinulle kirjautumista "suomi. fi" sivuille, OVAT HUIJAUSYRITYKSIÄ! Kirjaudu aina ja vain itse selaimen osoitekenttään kirjoittamastasi osoitteesta. Eri viranomaistahot käyttävät nykyään "suomi. fi" palvelua MUTTA niissä ei ole enää suoria linkkejä, vaan kirjautumislinkit kulkevat viranomaisten sivujen kautta..

---------------------------------------KIRJE--------------------------------------

TÄMÄ SEURAAVA KIRJE LÄHITAPIOLAN NIMISSÄ ON SAMAN HUIJARIN KÄSIALAA

Katso aina lähettäjän osoite!

TÄMÄ SAMA KIRJE SAAPUI MYÖS ERI LINKKIOSOITTEELLA

Huijari on hakkeroinut itsesnä Tsekkiläisen katsastusfirman koneelle.
Osoite: stkkt. cz/re/ ohjaa STK Klatovy s.r.o. -katsastusaseman verkkosivustolle.

Tämä VAARALLINEN inkkiosoite "https://kuch-hatke. in/welk/kome/" esiintyy nyt useissa erilaisissa huijauskirjeissä, joten sen voi kirjoittaa spämmisuodattimeen. Osoite "kuch-hatke. in" riittää. Poista tyhjä väli pisteen jälkeen. Sama kirje saapui myös ainakin PayPal -palvelun nimissä.

ELISA / nMcAfee HUIJAUSPÄIVITYS

 Tämä kirje ei tule Elisalta tai McAfeelta (lähetysosoite "maestro.bounces.google. com" näkyvä osoite on gmailin tekaistu ilmaisosoite) Kirje on Googlen palvelusta lähetetty, eikä minulla ole vuosikausiin ollut McAfeeta, joka vaatisi päivitystä.
ELISA myy omaa tietoturvaansa, ei McAfeeta.
Linkin osoite veisi osoitteeseen: "wae.eu. com//4OdZZU259ndzc45qcazkqdpmu9DCJTKUA..."

Osoite kuuluu World Archery Europe, nimiselle Jousiammunnasta tiedottaville sivuille. Oletan, että sivusto on hakkeroitu ja verkkorikollinen on päässyt rakentamaan palvelimelle tämän huijaussivuston.
Päätarkoitus lienee McAfee tilauksesta saadut henkilötiedot ja mahdolliset pankkitiedot, sekä sinun rahasi. McAfeeta et tule saamaan tämän kirjeen linkistä.

Tämä on HUIJAUS!

------------------------------------------KIRJE-----------------------------------------

NORDEAN NIMISSÄ ANSAPOSTIA

 Olen useampaankin kertaan varoittanut näistä "pankista" saapuvista kirjeistä. Niissä olevien linkkien tarkoitus on kaapata sinun pankkitunnuksesi ja pankkikirjautumisesi.
Kirje ei saavu Nordeasta. "ifi-eu. fi" osoitetta ei ole olemassa.
Linkki ei johda Nordeaan, vaan huijarin ansaan. Linkin päässä on PHP ohjelma, joka kaappaa pankkikirjautumisesi.
Virustorjuntapalvelut varoittavat: "Vipre virustorjunta: URL Score Malicious (100%)"
urlscan.io:n raportti: "Url Scan Analysis Malicious (100%)"
Falcon Sandbox varoittaa myös: "Detected network traffic to commonly abused domain. Domain: "fi-nordea-2026-876yh674.onl-857. click" possible high risk indicator. Domain uses TLD that is commonly abused for malicious purposes."   Tässsä tapauksessa TLD on ".click", jota verkkorikolliset käyttäävät runsaasti ansalinkeissään.                                                                                       

------------------------------------------KIRJE--------------------------------------------

AMAZONIN PALVELU ON VERKKORIKOLLISTEN KÄYTÖSSÄ

 Mikäli sinulle saapuvassa oudossa kirjeessä on linkki, joka näyttää osoitteen osana nimen: "amazonaws. com", ÄLÄ KOSKE LINKKIIN!

"amazonaws" on Amazonin palvelinosoitteita mutta sitä käyttävät myös verkkorikolliset. Amzon ei ole kiinnostunut mikä tai kuka käyttää heidän palveluitaan, joten verkkorikolliset hyödyntävät Amzonin tuttuutta ja verkkokauppa-imagoa ansalinkeissään.

Linkki näyttää kokonaisuudessaan tältä: "https://5grbejvbirzwmg7kk.s3.amazonaws. com".
"trizan. com" domain lähetysosoitteessa on varastettu huijauskäyttöön.

----------------------------------------KIRJE-----------------------------------------

MUITA AMAZONIN OSOITTEITA HYÖDYNTÄVIÄ ANSAKIRJEITÄ

https://vaarallinenweb.blogspot.com/2023/08/amatzonaws-virus.html

https://vaarallinenweb.blogspot.com/2024/03/amazon-ansa.html

https://vaarallinenweb.blogspot.com/2014/06/amazoncom-lahettajanimella-saapunut.html

https://vaarallinenweb.blogspot.com/2018/02/amazon-lahjakortti-on-vaarallinen-ansa.html

https://vaarallinenweb.blogspot.com/2020/04/kiinalaista-hoitoa-ilman-takeita.html

TÄMÄ HUIJARI ON TUNNISTETTAVISSA KÄSIALASTAAN

Tämän huijarin kirjeet ovat identtiset tyyliltään, joten ne on helppo erottaa asiallisista viesteistä.
Tuote vaihtelee mutta ansa on aina sama. ÄLÄ KLIKKAA linkkejä, ÄLÄKÄ AVAA LIITTEITÄ!
Saman verkkorikollisen tuotoksia malliksi:
https://vaarallinenweb.blogspot.com/2026/06/haki-haukkupanta-jostain-muualta.html
https://vaarallinenweb.blogspot.com/2026/06/talla-laitteella-lahtee-myos-rahat.html

------------------------------------------KIRJE---------------------------------------------

Tämäkin kirje on mennyt läpi spämmisuodattimen ja kommenteista löytyy mm.

SPF (Sender Policy Framework) -tietue on DNS TXT -tietue, joka listaa kaikki IP-osoitteet ja verkkotunnukset, joilla on lupa lähettää sähköposteja verkkotunnuksesi puolesta. Se estää huijareita väärentämästä osoitettasi, suojaa verkkotunnuksesi mainetta ja varmistaa sähköpostin korkean toimitettavuuden.

SPÄMMISUODATUKSEN KOMMENTTEJA:

0.0 HTML_FONT_LOW_CONTRAST BODY: HTML-fontin väri on samanlainen tai identtinen kuin tausta

(Tämä tarkoittaa, että tekstiä on piilotettu taustaväriin)

0.8 CPANEL_LOTS_OF_EMPTY_LINE_HTML RAW: Roskapostia, jossa on suuri määrä tyhjiä HTML-rivejä

0.0 AC_BR_BONANZA RAW: Liikaa rivinvaihtoja peräkkäin... roskapostimalli

0.8 CPANEL_LOTS_OF_EMPTY_LINE RAW: Roskapostia, jossa on suuri määrä tyhjiä rivejä

Tyhjien rivien runsas käyttö on roskapostille tunnusomaista.

"axertione. lat" - lähetysosoitetta ei ole olemassa.

HANKI HAUKKUPANTA JOSTAIN MUUALTA

 Tämä kirje on huijaus.

Kirje noudattaa tällä hetkellä vallassaolevaa huijareiden kirjeiden kaavaa.
Yhteenkään linkkiin ei saa klikata, eikä liitteitä saa avata.

----------------------------------KIRJE---------------------------------------

SPÄMMISUODATUKSEN KOMMENTTEJA:

0.0 HTML_FONT_LOW_CONTRAST BODY: HTML-fontin väri on samanlainen tai identtinen kuin tausta

(Tämä tarkoittaa, että tekstiä on piilotettu taustaväriin)

0.8 CPANEL_LOTS_OF_EMPTY_LINE_HTML RAW: Roskapostia, jossa on suuri määrä tyhjiä HTML-rivejä

0.0 AC_BR_BONANZA RAW: Liikaa rivinvaihtoja peräkkäin... roskapostimalli

0.8 CPANEL_LOTS_OF_EMPTY_LINE RAW: Roskapostia, jossa on suuri määrä tyhjiä rivejä

Tyhjien rivien runsas käyttö on roskapostille tunnusomaista.

HUIJARIN PAKETTI SAAPUU ITALIASTA

Kirje saapui tilanteessa, jossa todellakin odotin Postin lähetystä, johon olin jo saanut lähettäjäfirmalta ilmoituksen hetkeä aikaisemmin, tämän kirjeen saapuminen ajoittui liian sopivasti. Huijari saattaa seurata sähköpostiliikennettä?

Huijausta tulee epäillä aina ja joka tapauksessa, missä minkäänlaisia henkilötietoja tai pankkitietoja pyydetään. Siitä syystä katsoin noiden linkkien osoitteet hyvin tarkkaan ja ne osoittautuivat huijarin ansaksi.

Jo lähettäjän osoite kertoo huijauksen yrityksestä. Postista ei saavu postia muista kuin "posti.fi" tunnuksen osoitteista. Myöskään administratorit (admin) eivät lähetä asiakaspostia.
Postin tiedotteet kertovat myös tarkan postitoimiston ilman linkkivierailuja.

------------------------------------------KIRJE--------------------------------------------

LINKKI: "https://track.pstmrk .it/3s/track.pstmrk. it%2F3s%2Fbeige-finch-816149.hostingersite. com%252FPOS%252Frederiction. php%2FhQ..."
Osoittaa italialaiseen osoitteeseen, jossa näyttäisi odottavan palvelinpuolen PHP - ohjelma, joka voi tehdä ikäviäkin asioita. Yleensä se tuottaa lomakkeen, jossa udellaan henkilötietosi ja mahdollisesti myös pankkitietosi.

CleanDNS virustorjuntasivusto kertoo osoitteesta: " Alleged Domain Abuse Reports. Suspicious (27 Reports). Suomeksi:  kyseisestä osoitteesta on tehty 27  henkilötietovarkausraporttia.

F-Securen selaussuoja kertoo myös karua kieltä lähetyksestä:

TÄLLÄ LAITTEELLA LÄHTEE MYÖS RAHAT

Jos lähettäjäosoite päättyy pidenteeseen ".PICS" on hyvin todennäköistä, että kyseessä on haittaposti, joita näyttää nyt olevan runsaasti liikkeellä. Tämänkään kirjeen lähetysosoite ei ole toiminnassa. ".pics" päätteen osoitteita käyttävät yleensä kuvia tallentavat ja välittävät palvelut, ei hyönteiskarkoittajat suinkaan.
Tämän kirjeen TXT muoto paljastaa kehnon scandien käsittelyn, joka aina viittaa huijarin viritelmään.
Tämä kirje on kulkenut roskapostisuodattimen läpi ja suodatinohjelma kertoo joitakin tämän spämmin erikoisuuksia (kuvan alapuolella)..

HTML muodossa kirjeessä näyttäisi olevan kuvia MUTTA älä kuitenkaan klikkaa ainuttakaan linkkiä tämän kaltaisessa kirjeessä.

-------------------------------------KIRJE--------------------------------------------

SPÄMMISUODATUKSEN KOMMENTTEJA:

0.0 HTML_FONT_LOW_CONTRAST BODY: HTML-fontin väri on samanlainen tai identtinen kuin tausta

(Tämä tarkoittaa, että teksti on piilotettu taustaväriin)

0.8 CPANEL_LOTS_OF_EMPTY_LINE_HTML RAW: Roskapostia, jossa on suuri määrä tyhjiä HTML-rivejä

0.0 AC_BR_BONANZA RAW: Liikaa rivinvaihtoja peräkkäin... roskapostimalli

0.8 CPANEL_LOTS_OF_EMPTY_LINE RAW: Roskapostia, jossa on suuri määrä tyhjiä rivejä

Tyhjien rivien runsas käyttö on roskapostille tunnusomaista.

TERVEISIÄ VENÄJÄLTÄ

Venäläisillä huijareilla on onneksi vaikeuksia scandeissa (ääkköset), joten huijauskirjeen lähtömaa ja ikävät aikeet selviää ilman syvällisempää tutkintaakin.  Kirjeen sisältö on riittävän outoa ja epäloogista, kertoakseen kirjeen epäterveellisistä tavoitteista..

Ajoin kirjeessä olevan linkkiosoitteen kuitenkin virustarkistuksen läpi ja sain odottamiani vastauksia.
Esiin kaivettu linkki: "hxxps://tr11.patriotsedition. com/?xtl=kxh0..."  ja sen takaa piilosta vielä jatkolinkki "cardioclear7. com" molemmat todettiin epäilyttäviksi. ÄLÄ KLIKKAA! 

Osoitetta toistetaan eri tekstien yhteyksissä samanlaisena, eli ihan sama mihin linkkiin klikkaisit, päätyisit aina samaan ansaan. tr11.patriotsedition. com ei vaikuta rehelliseltä toimijalta, vaan se on erittäin suurella todennäköisyydellä huijaussivusto.

FALCON SANDBOX virustorjunta kertoo: Suspicious domain detected. Details: Input URL or Contacted Domain: "cardioclear7. com" has been identified as suspicious 

Linkin päässä oleva osoite johtaa edelleen uuteen osoitteeseen: Suspicious Redirect (Delayed Redirect):

Se varsinainen vaara: "Adversaries may communicate using application layer protocols associated with web traffic to avoid detection/network filtering by blending in with existing traffic"
Tämä tarkoittaa, että viattomalta vaikuttavan dataliikenteen seassa voidaan ujuttaa koneellesi vaikkapa virus.
"An adversary may rely upon specific actions by a user in order to gain execution".
Google käännös: "Vastustaja voi luottaa käyttäjän tiettyihin toimiin saadakseen suorituksen".
Tämä voidaan tulkita, että huijari voi harhauttaa kirjeen lukijan antamaan arkoja tietoja, esim. pankkikirjautumisen ja/tai henkilötietojaan.

Tämankaltaista materiaalia voidaan uittaa koneellesi vaikkapa videoksi naamioidulla tiedostolla, tai videon esitys-appilla, kuten kirjeen teksteistä voisi päätellä.

-------------------------------------------KIRJE-----------------------------------------------

GOOGLE kertoo osoitteesta lisää: "Verkkosivustoa tr11.patriotsedition. com käytetään "Trump 2024 TRB11 Patriots Coin" -kolikon markkinointiin."

Tämä kirje ei ole kuitenkaan lähtöisin Amerikasta tai Trumpin organisaatioista. Osoitetta käytetään naamioimaan venäläinen huijausyritys.